Quando si tratta il tema dei fornitori che devono essere inquadrati come “Responsabili del trattamento” si analizzano le problematiche relative alla documentazione contrattuale; più raramente si affrontano i criteri di prequalifica (valutazione inziale prima dell’avvio del rapporto contrattuale) e di qualifica nel tempo (valutazione dinamica). Il presente articolo tratta i criteri necessari per valutare un potenziale Responsabile, prima di affidargli uno o più trattamenti, ponendo l’accento sugli aspetti afferenti alla protezione dei dati personali.
Pianificare una procedura di data breach e poi essere in grado di gestire correttamente una violazione di sicurezza che può compromettere dati personali e la salute dei sistemi informativi è fondamentale per non incorrere in quel “panico di organizzazione” che altrimenti rischia di ottenere effetti paralizzanti e finanche aggravare l’evento occorso. Con conseguenze e impatti negativi tanto per l’organizzazione quanto per gli interessati coinvolti.
Il considerando 88 del GDPR richiede almeno una procedura per la notifica della violazione dei dati personali. Tale richiesta, in una logica sistemica, deve considerare da un lato tutto il processo di gestione di un evento di Data Breach e non solo la gestione del singolo evento, e dall’altro non solo le situazioni di Data Breach ma anche quelle di potenziale evento che mina la sicurezza delle informazioni.
Quando si verifica un data breach, il titolare del trattamento deve notificare la violazione al Garante della privacy senza ingiustificato ritardo entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il GDPR introduce per il Titolare del trattamento l’obbligo di notificare all’Autorità di controllo la violazione dei dati personali (Data Breach) che comporti rischi non trascurabili per i diritti e le libertà dell’individuo. Quando la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica la violazione all'interessato.
Fra poco il GDPR compirà i primi cinque anni di vigenza e molte esigenze, questioni, problematiche sono sorte e sono state affrontate dalle Autorità Garanti e dagli addetti del settore, per cercare di governare la complessità crescente che caratterizza il trattamento e la tutela dei dati personali. In questa sede ci si sofferma sull’ articolazione dei ruoli privacy, per vagliare se la predetta complessità possa essere fronteggiata con un più ampio ventaglio di figure specialistiche rispetto alla triade titolare / responsabile del trattamento e persone da loro autorizzate al trattamento.
La gestione del data breach è un adempimento richiesto alle organizzazioni in relazione alle prescrizioni degli artt. 33 e 34 GDPR, ma le misure tecniche e organizzative predisposte devono consistere - anche per le finalità di rendicontazione e dimostrabilità degli adempimenti richieste dal principio di accountability - nell’elaborazione di una procedura. Su un piano prettamente pratico non è però possibile definire una procedura che vada bene per ogni organizzazione a prescindere da contesto e complessità, ma si possono estrarre dei denominatori comuni che definiscono le fasi essenziali.
I documenti di riconoscimento delle persone riportano e costituiscono dei dati personali particolarmente delicati in quanto tramite di essi, soprattutto nel mondo digitale, dove le interazioni hanno effetti non meno reali di quelle del mondo fisico, possono essere utilizzati (trattati) in maniera non lecita se non fraudolenta, con rapidità immediata e in qualsiasi parte del globo. Infatti, la digitalizzazione dei servizi moltiplica le occasioni in cui occorre farsi riconoscere, rispetto al mondo reale, tramite documento di identità.
Per leggere questo articolo devi essere registrato ed effettuare il login!
In moltissime aziende è prevista la registrazione all’ingresso dei visitatori, siano essi clienti, manutentori esterni, addetti al vending, consulenti, rappresentanti di fornitori, candidati alla selezione, ecc. La registrazione è di norma svolta su supporti cartacei; le realtà più grandi dispongono invece di soluzioni elettroniche; in ogni caso molto raramente tale registrazione è gestita come un trattamento. In questo articolo si vogliono approfondire le implicazioni connesse a tale documento, con la consapevolezza che nelle aziende sono presenti situazioni molto variegate.
L’eliminazione di un trattamento di dati personali è una delle componenti del “ciclo di vita del trattamento”, spesso trascurata; essa si compone di due fasi: l’interruzione del trattamento vero e proprio, ovvero il Titolare non raccoglie più dati afferenti a quel trattamento; e l’eliminazione definitiva ed irreversibile dei dati che il Titolare conserva, afferenti a quel trattamento. In questo articolo, si presenta un esempio di estratto della procedura “Privacy by design” (principio previsto dall’art.25 del Gdpr) che riguarda l’interruzione e l’eliminazione del trattamento in un’organizzazione che dispone di un sistema di gestione della protezione dei dati ed in cui è presente la figura del DPO.
